Ankr ekibinin 5 Aralık'ta yaptığı duyuruya göre, 1 Aralık'ta Ankr protokolünün 20 milyon dolarlık hacklenmesi eski bir ekip üyesi tarafından gerçekleşti.
Eski çalışan, "tedarik zinciri saldırısı" gerçekleştirdi koyarak kötü amaçlı kodu ekibin dahili yazılımına gelecek güncellemelerden oluşan bir pakete aktarır. Bu yazılım güncellendikten sonra kötü amaçlı kod, saldırganın ekibin dağıtım anahtarını şirketin sunucusundan çalmasına olanak tanıyan bir güvenlik açığı oluşturdu.
Eylem Sonrası Raporu: aBNBc Token İstismarından Bulgularımız
Bu konuyu derinlemesine ele alan yeni bir blog yazısı yayınladık: https://t.co/fyagjhODNG
— Ankr Staking (@ankrstaking) 20 Aralık 2022
Ekip daha önce bu istismarın gerçekleştiğini açıklamıştı. çalıntı bir dağıtımcı anahtarının neden olduğu Bu, protokolün akıllı sözleşmelerini yükseltmek için kullanıldı. Ancak o sırada dağıtım anahtarının nasıl çalındığını açıklamamışlardı.
Ankr yerel yetkilileri uyardı ve saldırganın adalete teslim edilmesi için çabalıyor. Ayrıca gelecekte anahtarlarına erişimi korumak için güvenlik uygulamalarını da güçlendirmeye çalışıyor.
Ankr'da kullanılanlar gibi yükseltilebilir sözleşmeler, tek yetkisi olan bir "sahip hesabı" kavramına dayanır. yapmak Konuyla ilgili bir OpenZeppelin eğitimine göre yükseltmeler. Hırsızlık riski nedeniyle çoğu geliştirici bu sözleşmelerin sahipliğini bir gnosis kasasına veya başka bir çoklu imza hesabına aktarır. Ankr ekibi, geçmişte sahiplik için çoklu imza hesabı kullanmadığını ancak bundan sonra bunu yapacağını belirterek şunları söyledi:
"Bu istismar kısmen geliştirici anahtarımızda tek bir hata noktasının bulunması nedeniyle mümkün oldu. Artık, zaman kısıtlamalı aralıklarla tüm önemli saklayıcıların imzasını gerektirecek güncellemeler için çoklu imzalı kimlik doğrulama uygulayacağız; bu da gelecekte bu tür bir saldırıyı imkansız olmasa da son derece zor hale getirecek. Bu özellikler yeni ankrBNB sözleşmesinin ve tüm Ankr tokenlerinin güvenliğini artıracak.”
Ankr ayrıca insan kaynakları uygulamalarını iyileştirme sözü verdi. Uzaktan çalışanlar da dahil olmak üzere tüm çalışanlar için "arttırılmış" geçmiş kontrolleri gerektirecek ve hassas verilere yalnızca ihtiyacı olan çalışanların erişebildiğinden emin olmak için erişim haklarını gözden geçirecek. Şirket ayrıca bir şeyler ters gittiğinde ekibi daha hızlı uyarmak için yeni bildirim sistemleri uygulayacak.
Ankr protokol hacklemesi ilk keşfedildi Bu, saldırganın 1 trilyon Ankr Ödül Taşıyan Staked BNB (aBNBc) basmasına olanak tanıdı ve bu, merkezi olmayan borsalarda hemen yaklaşık 20 milyon ABD Doları karşılığında USD Coin olarak takas edildi (USDC) ve Ethereum'a köprülendi. Ekip, bu istismardan etkilenen kullanıcılara aBNBb ve aBNBc tokenlerini yeniden çıkarmayı ve bu yeni tokenlerin tam olarak desteklenmesini sağlamak için kendi hazinesinden 5 milyon dolar harcamayı planladığını belirtti.
Geliştirici ayrıca şu amaçlara 15 milyon dolar dağıttı: HAY stabilcoininin repeg'iistismar nedeniyle yetersiz teminat altına alındı.
Kaynak: https://cointelegraph.com/news/ankr-says-ex-employee-caused-5m-exploit-vows-to-improve-security